Home > 전체기사
CISO들, “차라리 월급을 줄여서라도 내 시간 확보하고 싶다”
  |  입력 : 2020-02-07 12:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
400명의 CISO와 400명의 C레벨 임원들 조사해보니...CISO 워라밸 심각
회사는 더 요구하고, CISO는 밤낮 구분 없이 일하고...높은 월급이 무슨 소용


[보안뉴스 문가용 기자] CISO들이 월급을 조금 낮추더라도 삶과 일의 균형을 맞추고 싶다는 심정으로 현재 직무를 감당하고 있다는 연구 결과가 발표됐다. 시장 조사 기관인 밴슨 본(Vanson Bourne)이 400명의 CISO들과 400명의 C레벨 임원들을 면담하여 정리한 보고서에 의하면 “현재 CISO들을 가장 많이 괴롭히는 건 ‘워라밸’과 경영진에서의 지원 부족”이라고 한다.

[이미지 = iclickart]


이번 면담에 응한 CISO들 중 48%는 “업무 스트레스가 정신 건강에 나쁜 영향을 미친다”고 말했다. 참고로 작년에 같은 조사를 실시했을 때 같은 응답을 한 CISO는 전체의 27%뿐이었다. “스트레스 때문에 신체 건강까지 악화됐다”는 응답자는 31%였고, “배우자 및 자녀들과의 관계에도 영향을 미친다”는 응답자는 40%였다. 그러면서 삶과 일의 균형이 좀 더 이상적으로 맞춰질 수 있다면 급여가 깎여도 된다고, 무려 90%가 말했다.

어디서부터 CISO의 스트레스는 시작되는 걸까? 95%는 “추가 근무 시간이 지나치게 길다”고 답했다. 근로 계약서에 명시된 것보다 주당 평균 10시간은 더 근무하는 것으로 조사됐다. 87%는 “상사들이 CISO가 추가로 근무하기를 바란다”고 답하기도 했다. 게다가 퇴근을 한다고 해서 완전히 업무를 떠날 수 있는 것도 아니었다. “퇴근 후 신경을 완전히 끌 수 있다”고 답한 CISO는 2%였으며, 83%는 “집에 와서나 주말 동안 업무 생각을 한다”고 답했다.

이번 연구를 의뢰한 도메인 이름 등록소 노미넷(Nominet)의 부회장인 스튜어트 리드(Stuart Reed)는 “CISO나 보안 담당자들은 항상 대기 상태여야 한다는 강박관념이 있다”고 설명한다. “그건 보안 담당자 본인에게도 있는 거지만, 사실 조직과 사회 분위기도 그런 기대감을 가지고 있습니다. 그게 맞는 건지 틀린 건지는 사람마다 의견이 다릅니다만, 지금 CISO들이 계약서가 요구하는 것보다 더 많은 것을 주고 있는 건 사실입니다.”

게다가 CISO는 다양한 역할을 수행해야 한다. “기술적으로 조직에 있을 수 있는 위험을 이해해야 하고, 그 위험을 평이한 말과 사업적인 말로 풀어낼 수 있어야 하며, 위험에 대한 대처 전략을 짜야 하고, 그걸 또 이해시키고 납득시켜야 합니다. 직원들에게 보안 정책을 지키라고 동기부여도 해야 하고요. 그러니 남는 시간에 업무 생각을 하지 않을 수가 없고, 그러니 ‘워라밸’에 대한 이야기가 나올 수밖에 없습니다.” 리드의 설명이다.

뿐만 아니라 요즘 사이버 위협의 수준이 너무나 올라가서 CISO의 스트레스가 더해지는 측면도 있다. 다른 나라, 다른 조직에서 발생한 사고라도 CISO를 불안하게 만든다. 하스 포뮬라 원(Haas Formula One) 레이싱 팀의 CIO인 개리 푸트(Gary Foote)는 “조직이 아무리 느슨하고 잘 대우해줘도, 공격자들이 난리를 치면 보안 담당자는 쉴 수 없다”고 토로한다.

“예를 들어 옆 나라에서 큰 비트코인 해킹 혹은 채굴 사건이 일어났다고 칩시다. 그리고 그게 신문지 헤드라인에 실렸어요. 그러면 위에서 CISO를 부릅니다. 이런 일이 우리 조직에서는 일어나지 않아야 한다며 강조하고, 그에 맞는 방어 대책 보고서를 제출하라고 하죠. 그게 어느 나라에서 일어나건, 어느 사업에서 일어나건, 일단 사이버 사고가 터지면 전부 CISO의 걱정거리가 됩니다. 이건 업무 특성상 당연한 일이기도 합니다.”

밴슨 본의 조사에서 흥미로운 점은, CISO와 다른 C레벨 임원들 사이의 ‘역할 이해도’가 다르다는 것이기도 하다. 사이버 보안의 중요성은 누구나 인정하고 있지만, 그것이 CISO가 받는 스트레스를 이해한다거나, 회사 차원의 지원으로 이어지지는 않는데, 그게 바로 이 ‘다른 이해도’ 때문으로 보인다.

이번 조사에서 C레벨 임원의 97%가 “보안 팀이 지금 받고 있는 예산에 어울리는 가치를 회사에 기여하는지 잘 모르겠다”고 답했다. 무슨 말이냐면, 회사는 보안 강화를 위해 해 줄만큼 해줬다는 것이다. 뭔가 더 ‘가치 있는 성과’가 보안 부서로부터 드러나기를 소망한다는 게 지금 C레벨들의 생각이다.

하지만 보안 사고 발생 시 책임에 대해서는 두 그룹이 비슷한 생각을 가진 것으로 나타났다. CISO의 37%와 C레벨 임원의 31%가 보안 사고의 책임은 CISO가 져야한다 고 답했기 때문이다. CISO의 30%는 사고 발생 시 해고될 것으로 생각하고 있다고 답했으며, 31%의 C레벨 임원들 역시 같은 의견이었다.

3줄 요약
1. CISO들이 피폐해지는 가장 큰 원인은 지나친 업무 시간.
2. 어느 정도냐면, 월급을 줄여서라도 내 시간 더 확보하고 싶다고...
3. 그러나 C레벨 임원들은 ‘투자에 비해 성과가 부족한 게 보안’이라는 입장.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)